私有云平臺(tái)再升級(jí)！UCloudStack推出安全容器管理服務(wù)

近日，UCloud自主研發(fā)的UCloudStack輕量級(jí)私有云平臺(tái)再升級(jí)，推出全新安全容器管理服務(wù)，進(jìn)一步完善了以私有云為核心的數(shù)字基座為上層提供云服務(wù)的形態(tài)。

通過(guò)無(wú)縫集成已有的豐富服務(wù)能力，UCloudStack可為用戶提供開(kāi)箱即用、全托管免運(yùn)維的生產(chǎn)級(jí)Kubernetes容器集群管理服務(wù)，讓用戶無(wú)需關(guān)心容器集群自身的搭建、維護(hù)等運(yùn)維工作。

UCloudStack采用輕量級(jí)虛擬化為容器提供強(qiáng)隔離運(yùn)行環(huán)境，與虛擬機(jī)共用物理節(jié)點(diǎn)、VPC網(wǎng)絡(luò)、負(fù)載均衡、塊存儲(chǔ)等基礎(chǔ)云資源，并充分復(fù)用云平臺(tái)多租戶等運(yùn)營(yíng)服務(wù)能力。同時(shí)完全兼容原生Kubernetes API，為容器化應(yīng)用提供高效部署、資源調(diào)度、服務(wù)發(fā)現(xiàn)、監(jiān)控日志等完整功能，提高容器集群管理便捷性。

01 統(tǒng)一資源調(diào)度，多形態(tài)資源統(tǒng)一管理

基于UCloud在虛擬化及容器領(lǐng)域多年的技術(shù)沉淀，UCloudStack采用極輕量虛擬機(jī)作為Pod的安全沙箱，確保所有容器實(shí)例之間強(qiáng)隔離，提供極高安全性。同時(shí)，整個(gè)平臺(tái)的虛擬化和容器資源均可通過(guò)同一個(gè)管理門戶統(tǒng)一調(diào)度管理，無(wú)需為容器服務(wù)單獨(dú)規(guī)劃和準(zhǔn)備硬件資源，極大降低了運(yùn)維復(fù)雜度。僅對(duì)容器服務(wù)有需求的用戶，也可獨(dú)立購(gòu)買不包含虛擬化的私有云版本，從而進(jìn)一步降低用戶成本。

在VPC內(nèi)實(shí)現(xiàn)容器和虛擬機(jī)網(wǎng)絡(luò)打平，避免傳統(tǒng)容器網(wǎng)絡(luò)性能損耗的同時(shí)，實(shí)現(xiàn)容器業(yè)務(wù)和租戶虛擬機(jī)直通互訪，降低了網(wǎng)絡(luò)架構(gòu)的復(fù)雜性和維護(hù)成本。也可無(wú)縫接入云平臺(tái)的云存儲(chǔ)，充分利用底層高可靠的分布式存儲(chǔ)能力，真正實(shí)現(xiàn)計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等資源在虛擬機(jī)、容器兩種形態(tài)下的統(tǒng)一使用和管理，通過(guò)一套統(tǒng)一的私有云基座，即可同時(shí)滿足傳統(tǒng)穩(wěn)態(tài)業(yè)務(wù)和創(chuàng)新型業(yè)務(wù)的快速交付。

成熟的安全組防護(hù)機(jī)制，既可為虛擬機(jī)提供細(xì)粒度安全控制，又可兼容支持容器網(wǎng)絡(luò)策略，用于定義和管理容器的網(wǎng)絡(luò)流量控制規(guī)則，降低容器攻擊面，提高容器安全性。

充分復(fù)用私有云的多地域、計(jì)量計(jì)費(fèi)、日志監(jiān)控等統(tǒng)一運(yùn)維運(yùn)營(yíng)能力，為用戶在多中心、多集群的大規(guī)模場(chǎng)景下提供簡(jiǎn)單一致的管理體驗(yàn)。

02 分鐘級(jí)生產(chǎn)就緒，關(guān)注業(yè)務(wù)而非基礎(chǔ)設(shè)施

在安全穩(wěn)定、高性能特性基礎(chǔ)上，UCloudStack容器服務(wù)同時(shí)提供簡(jiǎn)單易用的集群管理，只需指定版本和物理集群等基礎(chǔ)信息即可在幾分鐘內(nèi)獲得一個(gè)完整、穩(wěn)定、無(wú)需運(yùn)維的Kubernetes容器集群，讓用戶從復(fù)雜的底層基礎(chǔ)設(shè)施管理中解放出來(lái)，更加聚焦業(yè)務(wù)應(yīng)用。

得益于UCloudStack私有云平臺(tái)成熟完善的多租戶架構(gòu)，容器服務(wù)原生支持多租戶、多集群。平臺(tái)租戶可在配額允許的情況下創(chuàng)建多個(gè)不同版本的容器集群，租戶間的容器集群資源完全隔離，同一租戶下的多個(gè)容器集群亦可通過(guò)VPC實(shí)現(xiàn)集群網(wǎng)絡(luò)的隔離，方便租戶根據(jù)業(yè)務(wù)隔離需求進(jìn)行多集群規(guī)劃。

03 UCloudStack容器管理服務(wù)優(yōu)勢(shì)

·全托管免運(yùn)維，極大降低Kubernetes維護(hù)門檻

UCloudStack容器服務(wù)可完成所有集群的全生命周期管理，Kubernetes集群的管理組件由平臺(tái)自動(dòng)運(yùn)維，用戶無(wú)需關(guān)心服務(wù)的可用性和調(diào)優(yōu)等運(yùn)維工作，管理面組件會(huì)根據(jù)集群規(guī)模自動(dòng)進(jìn)行配置伸縮，保證控制面的可用性。

超級(jí)節(jié)點(diǎn)架構(gòu)實(shí)現(xiàn)了容器資源的統(tǒng)一智能調(diào)度，無(wú)需維護(hù)計(jì)算節(jié)點(diǎn)，免除對(duì)Kubernetes節(jié)點(diǎn)復(fù)雜的生命周期管理工作。無(wú)需對(duì)容器集群進(jìn)行容量規(guī)劃，避免前期資源過(guò)度投入。

集群亦可按需實(shí)現(xiàn)版本的自動(dòng)化滾動(dòng)升級(jí)，消除手動(dòng)升級(jí)的復(fù)雜性和操作風(fēng)險(xiǎn)，有助于提高集群服務(wù)的穩(wěn)定性。

·極輕量虛擬機(jī)強(qiáng)隔離，更高的安全性和靈活性

基于UCloudStack成熟穩(wěn)定的虛擬化技術(shù)，采用極輕量虛擬機(jī)作為安全沙箱環(huán)境，相比于傳統(tǒng)容器提供了更高的隔離級(jí)別，所有容器實(shí)例間完全隔離，防止互相干擾和漏洞風(fēng)險(xiǎn)的擴(kuò)散。容器沙箱與物理機(jī)也完全隔離，確保數(shù)據(jù)訪問(wèn)及風(fēng)險(xiǎn)不會(huì)逃逸到物理機(jī)，避免影響到整個(gè)平臺(tái)的穩(wěn)定性。尤其適合于安全性需求更高的多租戶環(huán)境。

不同容器可采用不同的操作系統(tǒng)及內(nèi)核版本，從而更靈活地支持不同的應(yīng)用庫(kù)和內(nèi)核特性，提升業(yè)務(wù)部署的靈活性。

·IaaS平臺(tái)無(wú)縫集成，存儲(chǔ)網(wǎng)絡(luò)能力開(kāi)箱即用

內(nèi)置的CNI及CSI插件，實(shí)現(xiàn)與UCloudStack服務(wù)能力的無(wú)縫集成，充分利用UCloudStack已久經(jīng)檢驗(yàn)的網(wǎng)絡(luò)和存儲(chǔ)服務(wù)能力。

容器基礎(chǔ)網(wǎng)絡(luò)采用VPC內(nèi)的扁平架構(gòu)，實(shí)現(xiàn)容器和相同VPC內(nèi)虛擬機(jī)的內(nèi)網(wǎng)直通，簡(jiǎn)化網(wǎng)絡(luò)拓?fù)浼軜?gòu)，降低運(yùn)維復(fù)雜性。通過(guò)利用高級(jí)網(wǎng)絡(luò)PaaS組件，進(jìn)一步提升容器網(wǎng)絡(luò)能力，如高性能、高可用的負(fù)載均衡可為多副本的容器負(fù)載提供統(tǒng)一的對(duì)外服務(wù)入口，NAT網(wǎng)關(guān)可以為容器提供訪問(wèn)外部網(wǎng)絡(luò)資源的能力。同時(shí)支持容器指定IP、固定IP，輕松應(yīng)對(duì)需要IP信息綁定的應(yīng)用場(chǎng)景。

支持自動(dòng)對(duì)接使用云盤，不但具有開(kāi)箱即用的高可靠的分布式存儲(chǔ)，數(shù)據(jù)庫(kù)這類有狀態(tài)應(yīng)用也可輕松容器化，基于UCloudStack對(duì)商業(yè)存儲(chǔ)的統(tǒng)一納管能力，使商業(yè)存儲(chǔ)的利舊也可輕松應(yīng)用于容器化應(yīng)用場(chǎng)景。

·原生Kubernetes高度兼容，保障可移植性和生態(tài)集成

高度兼容Kubernetes原生特性，便于已有Kubernetes應(yīng)用的發(fā)布和遷移，保障了應(yīng)用的可移植性。同時(shí)可充分利用Kubernetes豐富的生態(tài)系統(tǒng)，使得各種工具和應(yīng)用程序可以與容器服務(wù)緊密集成。高度的兼容性避免了廠商鎖定，讓用戶無(wú)后顧之憂。

應(yīng)用場(chǎng)景

通過(guò)虛擬機(jī)沙箱提供的極高安全性，結(jié)合容器標(biāo)準(zhǔn)化、輕量化的特性，安全容器服務(wù)實(shí)現(xiàn)了“快如容器，穩(wěn)如虛機(jī)”，可應(yīng)用于以下場(chǎng)景：

·大數(shù)據(jù)

大數(shù)據(jù)平臺(tái)通常涉及個(gè)人身份信息、財(cái)務(wù)數(shù)據(jù)等敏感數(shù)據(jù)的處理，安全容器通過(guò)額外的安全層，確保敏感數(shù)據(jù)在存儲(chǔ)和處理過(guò)程中不會(huì)泄漏或非法獲取。在金融和醫(yī)療保健等行業(yè)，安全容器的使用可以確保數(shù)據(jù)與數(shù)據(jù)處理過(guò)程的安全性和可審計(jì)性，從而滿足合規(guī)性要求。

·DevOps

CI/CD的流水線通常涉及構(gòu)建、測(cè)試、部署等階段，安全容器可以為每個(gè)階段快速提供一致的運(yùn)行環(huán)境。

相比傳統(tǒng)的物理機(jī)、虛擬機(jī)方式，安全容器可以確保開(kāi)發(fā)、測(cè)試、預(yù)生產(chǎn)和生產(chǎn)環(huán)境的一致性，減少配置問(wèn)題和部署錯(cuò)誤的風(fēng)險(xiǎn)。輕量快速的環(huán)境交付也可大大縮短整個(gè)流水線的時(shí)間，更低的資源開(kāi)銷也可以節(jié)省硬件資源、提高資源利用率。

相比傳統(tǒng)容器方式，安全容器也更好地保障了流水線各階段運(yùn)行環(huán)境的安全性，避免高風(fēng)險(xiǎn)步驟中的安全隱患，如自動(dòng)化測(cè)試流程中，可以執(zhí)行包括漏洞掃描、鑒權(quán)測(cè)試和安全配置檢查在內(nèi)的各種安全性測(cè)試。

·云邊協(xié)同

該場(chǎng)景下通常需要在邊緣設(shè)備上運(yùn)行容器化應(yīng)用程序，以實(shí)現(xiàn)環(huán)境輕量化以及應(yīng)用的低延遲和高響應(yīng)性。通過(guò)將邊緣計(jì)算和云計(jì)算相結(jié)合，可實(shí)現(xiàn)高效、靈活的數(shù)據(jù)處理和協(xié)作方式。安全容器可確保在邊緣設(shè)備上運(yùn)行的不同容器之間具有強(qiáng)隔離，有效防止?jié)撛诘陌踩{傳播到其它容器或設(shè)備，有助于增強(qiáng)邊緣設(shè)備和安全性，確保數(shù)據(jù)和應(yīng)用程序在邊緣環(huán)境中的安全運(yùn)行。

結(jié)合私有云多地域能力，可有效地管理分布在不同地理位置的資源和設(shè)備，有助于提高協(xié)同性、降低運(yùn)維成本、增強(qiáng)系統(tǒng)的安全性和可用性。

UCloudStack作為下一代云基礎(chǔ)設(shè)施，將持續(xù)升級(jí)容器服務(wù)，為用戶提供更多的容器生態(tài)解決方案，幫助用戶更好地構(gòu)建、部署和管理應(yīng)用程序，提高應(yīng)用程序交付效率和資源利用率，進(jìn)而提升開(kāi)發(fā)和運(yùn)維體驗(yàn)。